- •1. Пассивные и активные методы и способы защиты каналов утечки информации.
- •2 Методы и способы защиты информации, обрабатываемой в тспи.
- •3 Методы и способы защиты информации, циркулирующей в телефонных аппаратах и двухпроводных линиях.
- •4 Средства ослабления пэми тспи и их наводок.
- •5 Защита электросети, защита оконечного оборудования слаботочных линий.
- •6 Защита абонентского участка телефонной линии.
- •7 Защита информации обрабатываемой техническими средствами.
- •8 Назначение, принципы работы и порядок использования технических средств защиты информации, обрабатываемой тспи и циркулирующей в телефонных аппаратах и двухпроводных линиях.
- •9 Методы и способы защиты акустической (речевой) информации.
- •10 Пассивные способы защиты акустической (речевой) информации от ее утечки через несущие конструкции выделенного помещения.
- •11 Акустическая защита защищаемого помещения. Активные и комплексные способы защиты акустического информативного сигнала.
- •12 Аппаратура и способы активной защиты помещений от утечки речевой информации.
- •13 Способы создания искусственных акустических и виброакустических помех для защиты несущих конструкций и объема защищаемого помещения. Защита пассивными средствами защищаемых помещений.
- •14 Аппаратура и способы активной защиты помещений от утечки речевой информации.
- •15 Способы предотвращения несанкционированной записи речевой информации на диктофон. Нейтрализация радиомикрофонов.
- •16 Характеристика способов и средств защиты информации от утечки по материально-вещественному каналу
- •17 Способы предотвращения утечки информации по материально-вещественному каналу. Способы очистки демаскирующих веществ.
- •18 Классификация и характеристика основных средств предотвращения утечки информации по материально-вещественному каналу.
- •19 Средств защиты и экстренного уничтожения информации на бумажных и машинных носителях.
- •20 Состав и сущность организационно-технических и технических мер по защите информации в организации.
- •21. Виды контроля эффективности инженерно-технической защиты информации.
- •22 Особенности контроля эффективности защиты информации технологических процессов.
- •23 Меры технического контроля эффективности защиты информации.
- •25 Содержание и порядок использования мероприятий по контролю эффективности защиты информации.
- •26 Порядок проведения специальной проверки технических средств. Специальные обследования. Подготовка к проведению специальных обследований. Оценка вероятного противника.
- •27 Оценка условий, в которых решается задача выявления технических каналов утечки информации. Порядок и последовательность решения проблемы поисковой операции.
- •28 Выполнение поисковых мероприятий, радиообнаружение. Первичный осмотр и техническая проверка. Проверка электрических и электронных приборов. Проверка проводных коммуникаций.
- •29 Общие положения, термины и определения в области специальных исследований.
- •30 Порядок постановки задачи на выполнение специальных исследований по выявлению и измерению опасных сигналов в каналах возможной утечки информации.
- •31 Специальные исследования в области защиты речевой информации.
- •32 Специальные исследования в области акустоэлектрических преобразователей.
- •33 Специальные исследования в области защиты цифровой информации.
- •Глава 5
- •34. Специальные исследования побочных электромагнитных излучений и наводок
- •35 Технический контроль эффективности принимаемых мер защиты. Основные средства технического контроля.
- •36 Предпроектная стадия (предпроектное обследование объекта информатизации, разработка аналитического обоснования создания сзи и технического (частного технического) задания на ее создание).
- •37 Стадия проектирования (разработки проектов) и реализации защиты информации на объекте информатизации.
- •38 Стадия ввода в действие сзи (опытная эксплуатация и приемо-сдаточные испытания средств защиты информации, аттестация объекта информатизации на соответствие требованиям безопасности информации).
37 Стадия проектирования (разработки проектов) и реализации защиты информации на объекте информатизации.
Содержание работ на стадии проектирования и создания объекта информатизации и системы защиты информации в его составе
На стадии проектирования и создания объекта информации и системы защиты информации в его составе на основе предъявленных требований и заданных заказчиком ограничении на финансовые, материальные, трудовые и временные ресурсы осуществляются следующими мероприятиями:
• Разработку задания и проекта на строительные, строительно-монтажные работы (реконструкцию) объекта информатизации с учетом требований технического задания на разработку системы защиты информации;
• Разработку раздела технического проекта на объект информатизации в части защиты информации;
• Строительно-монтажные работы в соответствии с проектной документацией, утвержденной заказчиком, размещением и монтажом технических средств и систем;
• Разработку организационно-технических мероприятий по защите информации в соответствии с предъявленными требованиями;
• Закупка сертифицированных образцов и серийно выпускаемых в защищенном исполнении технических средств обработки, передачи и хранения информации либо их сертификации;
• Закупка сертифицированных технических средств защиты информации программных и программно-технических средств защиты информации и их установка;
• Разработка, доработка или закупка и последующая сертификация по требованиям безопасности информации, программных средств защиты информации в случае, когда на рынке отсутствует требуемые сертифицированные программные средства;
• Организация охраны и физической защиты помещений объекта информатизации, исключая несанкционированный доступ к техническим средствам обработки, ранения и передачи информации, их хищение и нарушение работоспособности, хищение носителей информации;
• Разработка и реализация разрешительной системы доступа пользователей и эксплуатации персонала к обрабатываемой (обсуждаемой) на объекте информатизированной информации;
• Выполнение инсталляции пакета прикладных программ в комплексе с программными средствами;
• Разработка эксплуатации документации на объект информатизации и средства защиты информации, а также организационно-распорядительной документации по защите информации (приказы, инструкции и другие документы);
• Выполнение других мероприятий специфичных для конкретных объектов информатизации и направлений защиты информации.
Техническое задание на проектирование объекта информатизации оформляется отдельным документом, согласовывается с проектной организацией, службой (специалистом) безопасности организации-заказчика в части достаточности мер по технической защите информации и утверждается заказчиком.
Мероприятие по защите информации от утечки по техническим каналам относятся основным элементам проектных решений, которые включаются в соответствующие разделы проекта и разрабатываются одновременно с ними.
38 Стадия ввода в действие сзи (опытная эксплуатация и приемо-сдаточные испытания средств защиты информации, аттестация объекта информатизации на соответствие требованиям безопасности информации).
На стадии проектирования и создания объекта информатизации оформляются также технический (технорабочий) проект и эксплуатационная документация системы защиты информации, состоящая из следующих документов:
• Пояснительной записки с изложением решений по комплексу организационных мер и программно-техническим средствам обеспечения безопасности информации, составу средств защиты информации с указанием их соответствия требованиям ТЗ;
• Описание технического, программного информационного обеспечения и технологии обработки (передачи) информации;
• Плана организационно-технических мероприятий по подготовки объекта информатизации к внедрению средств и мер защиты информации;
• Технического паспорта объекта информатизации (формы технических паспортов на автоматизированные системы и защищенные помещения приведены в СТР-К);
• Инструкций и руководств по эксплуатации технических и программных средств защиты для пользователей, администраторов системы, а также для сотрудников службы безопасности.
^ На стадии ввода в действие объекта информатизации и системы защиты информации осуществляются:
• Опытная эксплуатация средств защиты информации в комплексе с другими техническими и программными средствами в целях проверки их работоспособности в составе объекта информатизации и отработки технологического процесса обработки (передачи) информации;
• Приемосдаточные испытания средств защиты информации по результатам опытной эксплуатации с оформлением приемосдаточного акта, подписываемого разработчиком (поставщиком) и заказчиком;
• Аттестация объекта информатизации по требованию безопасности информации.
На стадии ввода в действие объекта информатизации и системы защиты информации оформляются:
• Акты внедрения средств защиты информации по результатам их приемо-сдаточных испытаний;
• Протоколы аттестационных испытаний и заключение по их результатам;
• Аттестат соответствия объекта информатизации требованиям по безопасности информации (формы «аттестатов соответствия» для автоматизированных систем и защищенного помещения приведены в приложениях СТР-К).
^ Кроме вышеуказанной документации в организации оформляются приказы, указания и решения:
• На проектирование объекта информатизации и назначение ответственных исполнителей;
• На проведение работ по защите информации;
• О назначении лиц, ответственных за эксплуатацию объекта информатизации;
• На обработку в защищенном помещении (обсуждение) или в автоматизированной системе конфиденциальной информации.
Эксплуатация объекта информатизации осуществляется в полном соответствии с утвержденной организационно-распорядительной и эксплуатационной документацией с учетом требовании и положений СТР-К по защите речевой конфиденциальной информации и обрабатываемой в автоматизированных системах. С целью своевременного выявления и предотвращения утечки информации по техническим каналам, исключения или существенного затруднения несанкционированного доступа к ней и предотвращение специальных программно-технических воздействий, вызывающих нарушение конфиденциальности, целостности или доступности информации, в организации проводятся периодический (не реже 1 раза в год) контроль состояния защиты информации. Контроль осуществляется службой безопасности информации.
^ Отраслевыми и федеральными органами контроля состояния защиты информации проводится не реже 1 раза в 2 года и заключается в оценке:
• Соблюдение требований нормативно-методических документов по защите информации;
• Работоспособности применяемых средств защиты информации в соответствии с их эксплуатационной документацией;
• Знаний и выполнения персоналом своих функциональных обязанностей в части защиты информации.
Собственник или владелец конфиденциальной информации имеет право обратиться в органы государственной власти для оценки правильности выполнения норм и требований по защите его информации в информационных системах.
При необходимости по решению руководителя организации могут быть проведены работы по поиску электронных устройств съема информации (закладочных устройств), возможно внедренных в защищенное помещение или технические средства, осуществляемые организациями, имеющие у себя соответствующие лицензии ФСБ России.
В организациях Минобороны России работы по поиску электронных устройств съема информации (закладочных устройств) возможно внедренных в защищенное помещение или технические средства могут производится подразделениями, допущенными к проведению тих работ в установленном порядке.
^ Аттестация объекта информатизации – комплекс организационно-технические мероприятий, в результате которых посредством специального документа – аттестата соответствия подтверждается, что объект соответствует требованиям стандартов и иных нормативно-технических документов по безопасности информации, утвержденных федеральным органом по сертификации и аттестации.
^ Требования и рекомендации по защите речевой конфиденциальной информации
Утечка речевой информации возможна за счет следующих каналов:
• Акустического излучения информативного речевого сигнала;
• Виброакустических сигналов, возникающих посредствам преобразования информативного акустического сигнала при воздействии его на строительные конструкции и инженерно-технические системы в защищенных помещениях;
• Прослушивание разговоров, ведущихся в защищенных помещениях по информационным каналам общего пользования (городская телефонная сеть, сотовая, транкинговая (т.е. циркулярная) и пейджинговая связь, радиотелефон) за счет скрытного подключения оконечных устройств этих видов связи;
• Электрических сигналов, возникающих в результате преобразования информативного сигнала из акустического в электрический за счет микрофонного эффекта и распространяющихся по проводам и линиям передачи информации, выходящим за пределы контролируемой зоны;
• Побочных электромагнитных излучений информативного сигнала от обрабатывающих информацию технических средств, в том числе возникающих за счет паразитной генерации и линий передачи информации;
• Электрических сигналов, наводимых от обрабатывающих информацию технических средств и линий ее передачи, на провода и линии, выходящие за пределы контролируемой зоны;
• Радиоизлучений, модулированных информативным сигналом, возникающих при работе различных генераторов, входящих в состав технических средств, установленных в защищенном помещении или при наличии паразитной генерации в их узлах (элементах);
• Радиоизлучений, электрических или инфракрасных сигналов, модулированных информативным сигналом от специальных электронных устройств съема речевой информации (закладочных устройств), закладываемых в защищенное помещение, технические средства и системы обработки информации.
Также следует учитывать возможность хищения технических средств с хранящейся в них записанной речевой информации или отдельных носителей с такой информацией.
Основные требования и рекомендации по защите речевой информации, циркулирующей в защищаемых помещениях
Защищаемые помещения должны размещаться в пределах контролируемой зоны организации. Рекомендуется размещать их на максимальном удалении от ее границ; ограждающие конструкции защищенных помещений (стены, полы, потолки) не должны являться смежными с помещениями других организаций. Не рекомендуется располагать защищенные помещения на первых этажах зданий. Окна защищенных помещений рекомендуется закрывать шторами или жалюзи.
Защищаемые помещения оснащаются сертифицированными по требованиям безопасности информации ОТСС и ВТСС или соответствующими средствами защиты. эксплуатация ОТСС, ВТСС и средств защиты должна осуществляться в соответствии с эксплуатационной документации на них.
Специальная проверка защищенного помещения и установленного в нем оборудования возможна внедренных в них электронных устройств съема информации (закладок) проводится при необходимости по решению руководителя организации.